L’approche probabiliste de la sûreté.
L’inférence peut procéder par induction, comme lorsque sont élaborés des arbres d’événements* pour représenter les séquences accidentelles déclenchées par des événements initiateurs, ou par déduction, comme lorsque l’on reconstitue les combinaisons d’événements pouvant conduire à la défaillance d’un système par l’intermédiaire d’arbres de défaillance*entre les outils d’analyse de la sûreté dits déterministes et ceux dits probabilistes ne réside pas dans l’usage des probabilités, qui n’est pas rare dans les premiers, comme nous venons de le voir, alors que les seconds peuvent aussi faire appel à des raisonnements déter- ministes. La particularité de l’approche probabiliste est la recherche d’une représentation explicite de la chaîne d’événements susceptibles de conduire à un certain résultat, qu’il s’agisse de la panne d’une composante, de la su enue d’un certain type d’accident suite à un événement initial ou de la sûreté d’ensemble de l’installation. La philosophie de l’approche probabiliste est résumée par la définition du risque proposée par Kaplan et Garrick (1981), que nous avons déjà évoquée : le risque est la donnée de tous les triplets (S. Son intérêt, outre de quantifier les risques de défaillance, est de construire un modèle du système étudié fondé sur les relations de cause à effet, ce qui nécessite d’entreprendre un effort majeur d’acquisition de connaissances générales relatives au système et d’identification des interactions possibles en son sein.. L’approche probabiliste s’intéresse non seulement aux systèmes importants pour la sûreté au sens traditionnel, mais éga- lement à la physique des phénomènes consécutifs à des événements particuliers, aux interventions humaines et aux systèmes informatiques. L’approche probabiliste combine ces outils en fonction du caractère spécifique du problème à étudier.
Les évaluations probabilistes de la sûreté.
Lorsqu’elle est étendue à la sûreté générale d’une installation nucléaire, l’approche probabiliste prend le nom d’évaluation (ou étude) probabiliste de la sûreté (EPS)du réacteur ; le deuxième prolonge l’hypothèse de fusion en étudiant ses conséquences pour la centrale, et notamment les rejets de matière radioactive en dehors de son enceinte ; enfin, le troisième considère, pour un scénario de rejets donné, les conséquences pour le monde extérieur. Idéalement, les trois analyses devraient être articulées pour permettre de suivre l’enchaînement de causes et d’effets allant des prémisses d’un accident jusqu’à ses conséquences finales. En pratique, toutefois, l’accent a été surtout mis, jusqu’à ce jour, sur les EPS de niveau 1, pour des raisons que nous évoquerons dans la dernière section de ce chapitre. De telles évaluations ont été effectuées pour la grande majorité des réacteurs nucléaires en opération dans le monde, et constituent une exigence minimale de sûreté. Des EPS de niveau 2 ont été développées dans les pays les plus avancés en matière de sûreté (notamment en France), et apparaissent aujourd’hui comme une norme de bonne pratique (AIEA , 2001). Enfin, seul un faible nombre d’EPS de niveau 3 a été réalisé dans le monde (notamment aux États-Unis et en Suède).Nous proposons dans cette section un survol de l’approche probabiliste de la sûreté, en prenant pour modèle les EPS françaises et en indiquant quelques alternatives méthodologiques lorsque cela était possible sans engager de longs développements techniques. Nos visées seront avant tout synthétiques et critiques ; pour des exposés complets et détaillés de ces outils, on pourra consulter notamment Bedford et Cooke (2001) et Villemeur (1988).L’analyse des séquences d’événements susceptibles de mener à une fusion du cœur du réacteur commence par la sélection d’événements initiateurs*. Des arbres d’événements décrivent ensuite la progression de l’accident en considérant l’une après l’autre toutes les missions de systèmes ou d’opérateurs visant à l’arrêter.
L’identification des événements initiateurs vise, par principe, à l’exhaustivité. On ne peut bien sûr jamais être certain d’avoir atteint cet objectif et, dans la pratique, on en reste assez loin dans le cas de systèmes aussi complexes qu’une centrale nucléaire. Il s’agit alors de procéder, en considérant les ressources humaines et financières disponibles, à un arbitrage entre l’étendue des catégories d’événements considérés et la précision des séquences étudiées. La première étude probabiliste de la sûreté des réacteurs de 900 MWe en France, à titre d’exemple, a fait l’objet d’une attention particulière pour l’analyse des états transitoires et la prise en compte des défaillances de systèmes supports ; mais les agressions internes et externes en ont été exclues (IPSN, 1990b). Ce choix a été confirmé dans les mises à jour ultérieures de l’étude (IRSN, 2006), de même qu’il a été suivi dans l’EPS des réacteurs 1300 MWe (EdF, 1990).Les événements initiateurs constituent le point de départ des séquences d’accident, c’est-à-dire celui où l’on choisit d’arrêter la démarche inductive de représentation des causes. Ce choix est, dans une large mesure, affaire de jugement et de contexte. Pour pouvoir considérer un événement comme initiateur, il faut d’une part que l’on puisse évaluer sa probabilité d’occurrence de façon satisfaisante, et de l’autre que l’effort supplémentaire de remontée à ses causes ne présente pas d’intérêt du point de vue d’autres séquences accidentelles. Si, à titre d’exemple, on choisit comme événement initiateur la rupture d’une tuyauterie primaire et non la fissure qui l’a amenée, c’est que la fréquence de la rupture est estimée suffisamment bien connue, et que la rupture est le point de passage unique de toutes les conséquences pertinentes de la fissure, quelle qu’en soient les causes (Villemeur, 1988, p. 272). Dans la terminologie des réseaux bayésiens causaux que nous introduirons au chapitre suivant, nous dirons que les grandeurs latentes, c’est-à-dire celles qui sont laissées en dehors du champ du modèle (la fissure), ne sont causalement liées qu’à une seule variable du modèle (la rupture), ou encore qu’il n’existe pas parmi elles de cause commune.Les probabilités de survenue des événements initiateurs sont, dans la mesure du possible, es- timées par des fréquences observées empiriquement. Ces estimations sont régulièrement révisées pour tenir compte de l’expérience d’exploitation. Si l’événement est rare et l’on ne dispose pas de fréquence fiable, sa probabilité d’occurrence est évaluée sur la base d’avis d’experts. Lorsqu’il s’agit d’une perte de système, ces avis peuvent être complétés, ou remplacés, par des outils d’analyse des systèmes tels que les arbres de défaillance.